Inventário de ativos na cloud

Aceder ao inventário de ativos no portal Azure

No portal Azure, navegue até Microsoft Defender for Cloud>Inventory.

A página Inventário fornece informações sobre:

• Recursos conectados. Veja rapidamente quais recursos estão conectados ao Defender for Cloud.
• Estado geral de segurança: obtenha um resumo claro sobre o estado de segurança dos recursos conectados do Azure, AWS e GCP, incluindo o total de recursos conectados ao Defender for Cloud, recursos por ambiente e uma contagem de recursos não íntegros.
• Recomendações, alertas: Analise detalhadamente o estado de recursos específicos para ver recomendações de segurança ativas e alertas de segurança para um recurso.
• Priorização de risco: as recomendações baseadas em risco atribuem níveis de risco às recomendações, com base em fatores como sensibilidade aos dados, exposição à Internet, potencial de movimento lateral e possíveis caminhos de ataque.
• A priorização de risco está disponível quando o plano Defender CSPM está habilitado.
• Software. Você pode revisar recursos por aplicativos instalados. Para aproveitar o inventário de software, o plano Defender Cloud Security Posture Management (CSPM) ou um plano Defender for Servers deve ser habilitado.

O Inventário usa o Azure Resource Graph (ARG) para consultar e recuperar dados em escala. Para obter informações personalizadas detalhadas, você pode usar o KQL para consultar o inventário.

Rever o inventário

1. No Defender for Cloud no portal do Azure, selecione Inventário. Por padrão, os recursos são classificados pelo número de recomendações de segurança ativas.
2. Analise as configurações disponíveis:
   • Na Pesquisa, você pode usar uma pesquisa de texto livre para encontrar recursos.
   • Total de recursos exibe o número de recursos conectados ao Defender for Cloud.
   • Recursos não íntegros exibem o número de recursos com recomendações e alertas de segurança ativos.
   • Contagem de recursos por ambiente: total de recursos do Azure, AWS e GCP.
3. Selecione um recurso para detalhar os detalhes.
4. Na página Estado de Funcionamento do Recurso, reveja as informações sobre o recurso.
   • A guia Recomendações mostra todas as recomendações de segurança ativas, em ordem de risco. Você pode detalhar cada recomendação para obter mais detalhes e opções de correção.
   • A guia Alertas mostra todos os alertas de segurança relevantes.

Rever o inventário de software

1. Selecione o aplicativo instalado
2. Em Valor, selecione os aplicativos para filtrar.

• Total de recursos: o número total de recursos conectados ao Defender for Cloud.
• Recursos não íntegros: recursos com recomendações de segurança ativas que você pode implementar. Saiba mais sobre como implementar recomendações de segurança.
• Contagem de recursos por ambiente: o número de recursos em cada ambiente.
• Subscrições não registadas: qualquer subscrição no âmbito selecionado que ainda não tenha sido ligada ao Microsoft Defender for Cloud.

1. Os recursos conectados ao Defender for Cloud e executando esses aplicativos são exibidos. As opções em branco mostram máquinas onde o Defender for Servers/Defender for Endpoint não está disponível.

Filtrar o inventário

Assim que você aplica filtros, os valores de resumo são atualizados para se relacionarem aos resultados da consulta.

Ferramentas de exportação

Baixar relatório CSV - Exporte os resultados das opções de filtro selecionadas para um arquivo CSV.

Abrir consulta - Exporte a própria consulta para o Azure Resource Graph (ARG) para refinar, salvar ou modificar ainda mais a consulta KQL (Kusto Query Language).

Como funciona o inventário de ativos?

Além dos filtros predefinidos, você pode explorar os dados de inventário de software do Resource Graph Explorer.

O ARG foi projetado para fornecer exploração eficiente de recursos com a capacidade de consultar em escala.

Você pode usar a Kusto Query Language (KQL) no inventário de ativos para produzir rapidamente insights profundos cruzando dados do Defender for Cloud com outras propriedades de recursos.

Como usar o inventário de ativos

1. Na barra lateral do Defender for Cloud, selecione Inventário.

2. Use a caixa Filtrar por nome para exibir um recurso específico ou use os filtros para se concentrar em recursos específicos.

   Por padrão, os recursos são classificados pelo número de recomendações de segurança ativas.

   Importante

   As opções em cada filtro são específicas para os recursos nas assinaturas selecionadas no momento e suas seleções nos outros filtros.

   Por exemplo, se você selecionou apenas uma assinatura e a assinatura não tem recursos com recomendações de segurança pendentes para corrigir (0 recursos não íntegros), o filtro Recomendações não terá opções.

3. Para usar o filtro Descobertas de segurança, insira texto livre da ID, verificação de segurança ou nome CVE de uma descoberta de vulnerabilidade para filtrar os recursos afetados:

   

   Gorjeta

   Os filtros Verificações de segurança e Tags só aceitam um único valor. Para filtrar por mais de um, use Adicionar filtros.

4. Para exibir as opções de filtro selecionadas atuais como uma consulta no Resource Graph Explorer, selecione Abrir consulta.

   

5. Se você definiu alguns filtros e deixou a página aberta, o Defender for Cloud não atualiza os resultados automaticamente. Quaisquer alterações nos recursos não afetarão os resultados exibidos, a menos que você recarregue manualmente a página ou selecione Atualizar.

Exportar o inventário

1. Para salvar o inventário filtrado no formulário CSV, selecione Baixar relatório CSV.

2. Para salvar uma consulta no Gerenciador de Gráficos de Recursos, selecione Abrir uma consulta. Quando estiver pronto para salvar uma consulta, selecione Salvar como e em Salvar consulta, especifique um nome e uma descrição da consulta e se a consulta é privada ou compartilhada.

   

As alterações feitas nos recursos não afetarão os resultados exibidos, a menos que você recarregue manualmente a página ou selecione Atualizar.

Aceder a um inventário de software

Para acessar o inventário de software, você precisa de um dos seguintes planos:

• Verificação de máquina sem agente do Defender Cloud Security Posture Management (CSPM).
• Verificação de máquina sem agente do Defender for Servers P2.
• Integração do Microsoft Defender for Endpoint a partir do Defender for Servers.

Exemplos de utilização do Azure Resource Graph Explorer para aceder e explorar dados de inventário de software

1. Abra o Azure Resource Graph Explorer.

   

2. Selecione o seguinte escopo de assinatura: securityresources/softwareinventories

3. Insira qualquer uma das seguintes consultas (ou personalize-as ou escreva as suas!) e selecione Executar consulta.

Query examples (Exemplos de consultas)

Para gerar uma lista básica de software instalado:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Para filtrar por números de versão:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Para encontrar máquinas com uma combinação de produtos de software:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Para combinar um produto de software com outra recomendação de segurança:

(Neste exemplo – máquinas com MySQL instalado e portas de gerenciamento expostas)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Próximos passos

• Rever as recomendações de segurança
• Gerir e responder a alertas de segurança
• Exportação contínua - Exportar dados de segurança para SIEM, SOAR ou outras ferramentas
• Crie painéis de segurança personalizados com Azure Workbooks
• Ativar os planos do Defender para a Cloud
• Liga contas AWS
• Conectar Projetos do GCP

Este artigo descreve como utilizar o inventário unificado de ativos cloud no Microsoft Defender for Cloud dentro do portal Microsoft Defender XDR para gerir e monitorizar a sua infraestrutura multicloud.

Visão geral

O inventário de ativos cloud fornece uma visão unificada e contextual da infraestrutura cloud nos ambientes Azure, AWS e GCP. Categoriza os ativos por carga de trabalho, criticidade e estado de cobertura, integrando dados de saúde, ações do dispositivo e sinais de risco numa única interface.

Capacidades chave

Visibilidade multicloud unificada

• Cobertura abrangente: Visualize todos os ativos cloud em Azure, AWS, GCP e outras plataformas suportadas
• Interface consistente: Painel único para gestão de ativos multicloud
• Sincronização em tempo real: Informação atualizada dos ativos em todos os ambientes cloud conectados
• Relações multiplataforma: Compreenda as dependências e ligações entre ativos de diferentes fornecedores de cloud

Informações específicas para cargas de trabalho

O inventário está organizado por tipos de carga de trabalho, cada um fornecendo visibilidade e dados personalizados:

• Máquinas Virtuais: Instâncias de computação em fornecedores de cloud com dados de postura de segurança e vulnerabilidades
• Recursos de Dados: Bases de dados, contas de armazenamento e serviços de dados com insights de conformidade e exposição
• Contentores: Clusters Kubernetes, instâncias de contentores e registos de contentores com resultados de análise de segurança
• Serviços de IA/ML: Recursos de inteligência artificial e aprendizagem automática com contexto de governação e segurança
• APIs: APIs REST, funções serverless e serviços de integração com análise de exposição
• Recursos DevOps: pipelines CI/CD, repositórios e ferramentas de desenvolvimento com informações de segurança
• Recursos de Identidade: Contas de serviço, identidades geridas e componentes de controlo de acesso
• Serverless: Funções, aplicações lógicas e recursos computacionais orientados a eventos

Filtragem e escopo avançados

• Âmbito persistente: Aproveite os escopos de nuvem para uma filtragem consistente ao longo de experiências
• Filtragem multidimensional: Filtrar por ambiente, carga de trabalho, nível de risco, estado de conformidade e muito mais
• Capacidades de pesquisa: Descoberta rápida de ativos através de funcionalidades de pesquisa abrangente
• Vistas guardadas: Criar e manter vistas filtradas personalizadas para diferentes necessidades operacionais

Categorização de ativos e metadados

Classificação de criticidade de ativos

Os ativos são automaticamente classificados com base em:

• Impacto no negócio: Determinado pelo tipo de ativo, dependências e importância organizacional
• Postura de segurança: Baseada na configuração, vulnerabilidades e estado de conformidade
• Fatores de risco: Incluindo exposição à internet, sensibilidade de dados e padrões de acesso
• Classificações personalizadas: regras de criticidade definidas pelo utilizador e sobreposições manuais

Indicadores de estado de cobertura

Cada ativo apresenta informações de cobertura:

• Protegido: Defensor Total para proteção na nuvem ativado
• Parcial: Algumas funcionalidades de segurança ativadas, outras disponíveis para atualização
• Sem proteção: Sem Defender para Cloud, requer integração
• Excluído: Explicitamente excluído da monitorização ou proteção

Sinais de saúde e risco

Indicadores de risco integrados fornecem um contexto abrangente dos ativos:

• Alertas de segurança: Incidentes de segurança ativos e deteções de ameaças
• Vulnerabilidades: Fraquezas de segurança conhecidas e correções necessárias
• Estado de conformidade: Avaliação de conformidade regulatória e de políticas
• Métricas de exposição: acessibilidade à Internet, acesso privilegiado e dados de superfície de ataque

Navegação e filtragem

Aceder ao inventário da cloud

1. Navegar até ao portal Microsoft Defender
2. Selecione Assets>Cloud na navegação principal
3. Use abas específicas da carga de trabalho para vistas focadas:
   • Todos os ativos: Visão abrangente de todos os tipos de carga de trabalho
   • VMs: Inventário e insights específicos de máquinas virtuais
   • Dados: Recursos de dados, incluindo bases de dados e armazenamento
   • Contentores: Container e recursos Kubernetes
   • IA: Inteligência artificial e serviços de aprendizagem automática
   • API: APIs e serviços de integração
   • DevOps: Recursos do pipeline de desenvolvimento e implementação
   • Identidade: Componentes de gestão de identidade e acessos
   • Serverless: Recursos de computação orientados a funções e eventos

Utilização eficaz dos filtros

• Filtragem de ambientes: Selecione fornecedores de cloud específicos (Azure, AWS, GCP) ou visualize todos os ambientes
• Filtragem de âmbito: Aplicar os escopos da nuvem para a gestão de limites organizacionais
• Filtragem baseada em risco: Foque em ativos de alto risco ou expostos que requerem atenção imediata
• Filtragem de carga de trabalho: Resultados restritos a tipos específicos de recursos cloud
• Filtragem de estado: Filtrar por estado de proteção, estado de conformidade ou indicadores de saúde

Pesquisa e descoberta

• Pesquisa de texto: Encontre ativos por nome, ID de recurso ou atributos de metadados
• Pesquisa baseada em tags: Localizar ativos usando etiquetas e rótulos de fornecedores cloud
• Consultas avançadas: Utilize combinações complexas de filtros para uma descoberta precisa de ativos
• Capacidades de exportação: Exportar resultados filtrados para reporte e análise

Detalhes e insights sobre os ativos

Informação abrangente sobre ativos

Cada ativo fornece informações detalhadas, incluindo:

• Metadados básicos: Nomes de recursos, IDs, localizações e carimbos temporais de criação
• Detalhes de configuração: Definições atuais, políticas e configurações aplicadas
• Postura de segurança: Estado de conformidade, avaliações de vulnerabilidades e recomendações de segurança
• Avaliação de risco: Análise de exposição, inteligência sobre ameaças e pontuação de risco
• Relações: Dependências, ligações e recursos relacionados em todo o ambiente

Integração de recomendações de segurança

Os ativos ligam diretamente a recomendações de segurança relevantes:

• Melhorias de configuração: Configurações incorretas e oportunidades de endurecimento
• Correção de vulnerabilidades: Gestão de patches e atualizações de segurança
• Controlo de acesso: Otimização de identidade e permissões
• Segurança de rede: Regras de firewall, segmentação de rede e redução de exposição

Fluxos de trabalho de resposta a incidentes

O inventário apoia as operações de segurança através de:

• Correlação de alertas: Ligar alertas de segurança a ativos específicos para uma investigação mais rápida
• Ações de resposta: Acesso direto aos fluxos de trabalho de remediação e às capacidades de resposta
• Apoio forense: Contexto detalhado dos ativos para investigação e análise de incidentes
• Integração com automação: acesso à API para orquestração de segurança e resposta automatizada

Integração com a Gestão de Exposições

Visualização do caminho de ataque

Os ativos no inventário integram-se com a análise do caminho de ataque:

• Participação no caminho: Veja quais os caminhos de ataque que incluem ativos específicos
• Identificação de pontos de estrangulamento: Destacar ativos que são pontos críticos de convergência
• Classificação de alvos: Identificar ativos que sejam alvos comuns de ataque
• Análise do ponto de entrada: Compreender quais os ativos que oferecem oportunidades de acesso inicial

Gestão de recursos críticos

O inventário suporta fluxos de trabalho críticos de ativos:

• Classificação automática: Os ativos podem ser automaticamente classificados como críticos com base em regras pré-definidas
• Designação manual: As equipas de segurança podem designar manualmente os ativos como críticos
• Herança de criticidade: As relações de ativos podem influenciar classificações de criticidade
• Priorização da proteção: Os ativos críticos recebem monitorização e proteção reforçadas

Integração de gestão de vulnerabilidades

Os ativos cloud ligam-se de forma fluida à gestão de vulnerabilidades:

• Vista unificada de vulnerabilidades: Veja tanto vulnerabilidades cloud como de endpoint em dashboards consolidados
• Priorização baseada no risco: As vulnerabilidades são priorizadas com base no contexto do ativo e no impacto no negócio
• Acompanhamento da remediação: Monitorizar o progresso da remediação de vulnerabilidades em ambientes cloud
• Relatórios de conformidade: Gerar relatórios de vulnerabilidades que incluam dados da cloud e dos endpoints

Relatórios e análises

Relatórios incorporados

• Relatórios de cobertura: Avalie a implementação do Defender para cloud em todo o seu ambiente de cloud
• Avaliações de risco: Análise abrangente de riscos em ambientes multicloud
• Painéis de conformidade: Acompanhar o estado da conformidade regulamentar em todos os ativos cloud
• Análise de tendências: Monitorizar alterações na postura de segurança ao longo do tempo

Análise personalizada

• Caça avançada: Consultar dados de ativos cloud usando KQL para análise personalizada
• Acesso API: Acesso programático a dados de inventário para relatórios personalizados e integração
• Capacidades de exportação: Exportar dados de ativos em vários formatos para análise externa
• Integração com dashboards: Crie painéis personalizados usando dados de inventário de ativos na cloud

Limitações e considerações

Limitações atuais

• Atualizações em tempo real: Algumas alterações nos ativos podem ter ligeiros atrasos antes de aparecerem no inventário
• Dados históricos: Informação histórica limitada sobre ativos durante o período inicial de implementação

Considerações sobre desempenho

• Ambientes grandes: A filtragem e o âmbito ajudam a gerir o desempenho em ambientes com milhares de ativos
• Taxas de atualização: Os dados dos ativos são atualizados periodicamente; Os dados em tempo real podem exigir acesso direto à consola do fornecedor de cloud
• Dependências de rede: A funcionalidade do inventário requer conectividade fiável às APIs dos fornecedores de cloud

Limitações de âmbito

Alguns ativos podem aparecer fora dos escopos de cloud definidos:

• Dependências entre escopos: Ativos com relações que abrangem múltiplos escopos
• Ativos flutuantes: Certos tipos de ativos que não suportam um âmbito detalhado
• Permissões herdadas: Ativos que herdam permissões de recursos principais fora do âmbito definido

Melhores práticas

Gestão de inventário

• Revisões regulares: Revisão periódica do inventário de ativos para verificar a precisão e completude
• Estratégia de etiquetagem: Implementar uma etiquetagem consistente em ambientes cloud para uma melhor organização
• Configuração do escopo: Configurar escopos na nuvem apropriados para corresponder à estrutura organizacional
• Otimização de filtros: Criar e guardar combinações úteis de filtros para operações diárias eficientes

Operações de segurança

• Foco em ativos críticos: Priorizar a monitorização e proteção dos ativos críticos para o negócio
• Abordagem baseada no risco: Utilizar indicadores de risco para orientar a atenção à segurança e a alocação de recursos
• Fluxos de trabalho de integração: Aproveitar dados de inventário em processos de resposta a incidentes e gestão de vulnerabilidades
• Oportunidades de automação: Identificar tarefas repetitivas que possam ser automatizadas usando APIs de inventário

Rever o inventário

1. No portal Microsoft Defender, navegue até ao Assets>Cloud.

2. Veja a visão geral dos ativos unificados na cloud:

   • Recursos totais em todos os ambientes cloud conectados
   • Resumo da postura de segurança mostrando recursos saudáveis vs. não saudáveis
   • Métricas de cobertura que indicam o estado do Defender for Cloud Protection
   • Distribuição de risco que mostra ativos por nível de risco

3. Use abas específicas de carga de trabalho para se concentrar em tipos particulares de ativos:

   • Selecione VMs para máquinas virtuais e instâncias de computação
   • Selecionar Dados para bases de dados e recursos de armazenamento
   • Selecionar Contentores para Kubernetes e ativos relacionados com contentores
   • Selecione IA para cargas de trabalho de IA e aprendizagem automática
   • Selecionar API para gestão de API e endpoints
   • Selecione DevOps para recursos do pipeline de desenvolvimento
   • Selecionar Identidade para ativos de gestão de identidade e acessos
   • Selecione Serverless para funções e computação sem servidor

4. Aplique o filtro de âmbito global para focar em escopos de cloud específicos ou limites organizacionais

5. Selecione um ativo para visualizar informações detalhadas:

   • Recomendações de segurança priorizadas por nível de risco
   • Alertas de segurança com insights de deteção de ameaças
   • Envolvimento do caminho de ataque mostrando participação em cenários potenciais de ataque
   • Estado de conformidade face às normas de segurança
   • Fatores de risco , incluindo exposição à internet e potencial de movimento lateral

Próximos passos

• Painel de visão geral da cloud
• Recomendações de gestão de segurança